 |
||
MUY IMPORTANTE: ALUVION DE MAILS CON PHISHING DE ENDESA QUE INSTALAN CRYPTOLOCKERmsc hotline sat Tuesday, May 31, 2016 Se está recibiendo masivamente una falsa factura de ENDESA que ofrece un enlace que descarga un ZIP que contiene un JS que instala y ejecuta un EXE con el ransomware CRYPTOLOCKER Es similar al que hemos sufrido hasta ahora con el falso mail de CORREOS, y que a tantos usuarios ha afectado, y ahora nos tememos que será mas de lo mismo, a pesar de este aviso y de que hasta ENDESA está avisando al respecto. El mail que se recibe es del siguiente tipo: 
imagen de phishing de ENDESA que descarga cryptolocker Es muy importante NO PULSAR EN SUS ENLACES para evitar instalar dicha variante del CRYPTOLOCKER Desde el ELISTARA 34.65 de ayer ya controlamos variantes de este Cryptolocker, si bien vemos que están cambiando continuamente su código y que nuevas variantes habrán de ir siendo controladas a medida que las vayamos conociendo. MUCHO CUIDADO YA QUE NOS TEMEMOS PROVOQUE LA INFECCION Y CIFRADO DE MUCHOS ORDENADORES A PESAR DE QUE VAYAMOS CONTROLANDO LOS QUE VAYAN APARECIENDO. Ofrecemos informe del preanalisis del VIRUSTOTAL sobre una de las muestras actuales de dicho Cryptolocker de "ENDESA" MD5 ec11c3a1be57b62e7fbede4b01b79836 SHA1 86e4d0d1f3e789ebed5f224dfa553c39e6c1243d Tamaño del fichero 353.7 KB ( 362189 bytes ) SHA256: 3838e4d078bc3d1c9dcb436d03109c1c6f385ff0d8edf03634e42cc08255636c Nombre: ikazykab.exe Detecciones: 4 / 57 Fecha de análisis: 2016-05-31 08:12:47 UTC ( hace 3 minutos ) 0 1 Antivirus Resultado Actualización Baidu Win32.Trojan.WisdomEyes.151026.9950.9994 20160530 Kaspersky UDS:DangerousObject.Multi.Generic 20160531 McAfee-GW-Edition BehavesLike.Win32.Dropper.fc 20160530 Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20160531 Como se ve actualmente lo controlan muy pocos antivirus, solo 4 de los 57 de virustotal, debido a la novedad del mismo y a los continuos cambios de las variantes que van implementando en el servidor desde donde descargan el ZIP con el JS que instala el EXE con el CRYPTOLOCKER Es importante recordar que, de sufrir el ataque de esta familia del CRYPTOLOCKER, cifra los ficheros de datos de las unidades compartidas, y que el virus queda en el ordenador donde se ha ejecutado el enlace contenido en el dichoso mail, por lo que queda infectado lanzando otra vez el virus cuando se reinicia, por lo que ANTES DE RESTAURAR LAS COPIAS DE SEGURIDAD debe eliminarse el virus del ordenador infectado. Para ello probar el último ELISTARA disponible, en el ordenador infectado, y si no lo detecta, lanzar el SPROCES y pulsar SALIR, lo cual generara en menos de 10 segundos, un informe en C\SPROCLOG.TXT que podrán enviarnos indicando que han sufrido dicho ataque, para que busquemos el fichero causante y su clave de lanzamiento, para pedir que nos lo envien como muestra a analizar, además de aparcarlo añadiendo .VIR a su extensión. Ya con el ELISTARA 34.65 de ayer empezamos a controlar las primeras variantes, por lo que aconsejamos probarlo, mientras no se disponga de una versión superior. El nuevo ELISTARA 34.66 de hoy, estará disponible a partir de las 18 h CEST, en el que incluiremos el control de todas las variantes que recibamos durante el día. Si tienen alguna duda al respecto, rogamos nos lo indiquen saludos ms, 31-5-2016 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|